Los expertos en seguridad han descubierto una vulnerabilidad crítica de ejecución remota de código (RCE), identificada como CVE-2024-38112, dentro del controlador de protocolo MHTML. Esta vulnerabilidad, denominada ZDI-CAN-24433, fue notificada a Microsoft en el momento de su descubrimiento (y posteriormente parcheada por el gigante tecnológico), con evidencia que sugiere que fue explotada activamente por el grupo de amenazas persistentes avanzadas (APT) Void Banshee. Conocido por apuntar a las regiones de América del Norte, Europa y el sudeste asiático, Void Banshee aprovechó CVE-2024-38112 como parte de una sofisticada cadena de ataque diseñada para robar información confidencial y obtener ganancias económicas. El ataque culminó con el despliegue del ladrón Atlantida, una variante de malware detectada inicialmente en enero de 2024. A lo largo del año, las variaciones de esta campaña se intensificaron, incorporando CVE-2024-38112 para comprometer los sistemas. Al explotar la vulnerabilidad MHTML a través de archivos de acceso directo a Internet (.URL), Void Banshee manipuló instancias deshabilitadas de Internet Explorer en sistemas Windows, eludiendo las medidas de seguridad y ejecutando cargas útiles maliciosas como las aplicaciones HTML (HTA). En respuesta a esta amenaza, Trend Micro monitoreó la campaña en evolución a mediados de mayo de 2024, aprovechando la telemetría interna y externa para rastrear las tácticas, técnicas y procedimientos (TTP) de Void Banshee. Los atacantes explotaron no solo el protocolo MHTML, sino también los controladores de protocolo de Microsoft y los esquemas de URI, explotando los restos de Internet Explorer presentes en las versiones modernas de Windows a pesar de su discontinuación y desactivación oficiales. La gravedad de CVE-2024-38112 impulsó a Microsoft a emitir un parche durante su ciclo de martes de parches de julio de 2024, que efectivamente anuló el registro del controlador MHTML de Internet Explorer. Este paso crítico mitiga el riesgo que plantea esta vulnerabilidad, evitando una mayor explotación a través de archivos de acceso directo a Internet. Lea más sobre las últimas correcciones del martes de parches: Microsoft corrige cuatro días cero en el martes de parches de julio Según Trend Micro, el incidente subraya las preocupaciones actuales con respecto a la explotación de componentes heredados como Internet Explorer, que a pesar de estar eliminados gradualmente, siguen siendo vulnerabilidades latentes en los entornos modernos de Windows. «Dado que los servicios como IE tienen una gran superficie de ataque y ya no reciben parches, representa una preocupación de seguridad grave para los usuarios de Windows», dijo Trend Micro. «Cuando se enfrentan a intrusiones, comportamientos y rutinas inciertas, las organizaciones deben asumir que su sistema ya está comprometido o vulnerado y trabajar para aislar de inmediato los datos o cadenas de herramientas afectados. Con una perspectiva más amplia y una respuesta rápida, las organizaciones pueden abordar las infracciones y protegerse [their] sistemas restantes.»